• 정책
  • 제도・법률

청구SW 환자정보 유출 위험 여전, 정부 수수방관

심평원 검사 강화 고시 1년째 보류…백 도어 공격 시 속수무책


문성호 기자
기사입력: 2016-09-23 05:00:58
|초점|구멍 뚫린 건강보험 청구SW

지난해 약학정보원과 지누스의 진료정보 불법 수집 사건 이 후 환자 개인정보에 대한 중요성이 커졌음에도 건강보험 청구 소프트웨어(SW)를 통한 개인정보 유출 위험이 여전한 것으로 드러났다.

특히 건강보험 청구SW 검사 시 개인정보 유출 가능성을 확인하기 위한 고시개정도 지연되고 있는 상황이다.

더불어민주당 정춘숙 의원(보건복지위)이 22일 건강보험심사평가원으로부터 제출받은 '연도별 청구SW 업체(상용)' 종별 현황'에 따르면, 청구SW를 자체개발해서 사용하는 상급종합병원 43곳을 제외한 모든 요양기관이 민간업체에서 개발한 청구SW를 사용하고 있는 것으로 나타났다.

구체적으로 상급종합병원을 제외하고 의원과 약국, 병원급 요양기관 8만6404곳이 민간업체 청구SW를 사용하고 있다.

행자부 의료기관 개인정보보호 위반 주요 사례 내용.
하지만 민간업체가 개발한 청구SW의 경우 환자 개인정보 유출 위험성이 여전한 상황이다.

실제로 지난해 7월 정부합동수사단은 청구SW를 통해 환자의 개인정보 및 진료처방 등 질병정보를 병원과 약국으로부터 불법 수집해 판매한 혐의로 지누스사(병원 보험청구 심사프로그램 회시), 약학정보원(약국 경영관리 청구 프로그램), IMS 헬스코리아(다국적 의료통계회사), SK텔레콤(이동통신사) 등 4곳 관계자 24명을 기소하기도 했다.

더구나 보건복지부는 청구SW를 통한 환자 개인정보 유출이 문제가 되자 이를 막기 위해 관련 고시를 개정을 진행했지만 고시를 시행하지도 못하고 있다.

복지부는 지난해 9월 개인정보 유출을 막기 위해 청구SW 검사 범위에 개인정보보호법 관련 보안 기능을 추가해 '요양급여비용 심사청구소프트웨어의 검사 등에 관한 기준' 고시 개정을 위한 행정예고를 했지만, 1년여가 지나서도 시행하지 않고 있다.

이에 따라 청구SW를 검사하는 심평원은 현재도 검사 시 개인정보 유출 가능성 여부를 제외한 6개 항목(▲데이터 송·수신 기능 ▲접수 및 심사결정, 진료비 지급 관련 부문 ▲보완·추가청구, 자료의 백업기능 ▲진료내역 등 로그(LOG) 관련 데이터베이스 시간 저장기능 ▲의약품 처방·조제 지원 소프트웨어 기능 ▲복지부가 정한 청구방법 관련 기능 및 데이터)만을 검사하고 있는 실정이다.

즉 대부분의 요양기관이 사용하는 민간업체의 청구SW의 경우 개인정보 유출 위험성이 여전하다는 것이다.

대한의사협회 손문호 정보통신 자문위원은 "약정원과 지누스 사태 이 후 청구SW 업체들은 환자 개인정보를 요양기관 자체적으로 보관할 수 있도록 하는 한편, 업체 자체적으로는 별도로 수집하지 않고 있다"고 설명했다.

그는 "즉 다른 방법으로 개인정보 유출을 막기 위한 차구책"이라며 "청구SW 개인정보 유출 사태가 발생할 경우 해당 민간업체들은 존폐가 걸린 문제로 최근 민간업체 자체적으로는 수집하지 않는 대신 요양기관에서만 이를 수집할 수 있도록 하는 시스템으로 변화하고 있다"고 전했다.

연도별 청구SW 업체(자체개발기관) 종별 현황(단위 : 요양기관 수, 2016. 9. 13 기준)
해커의 백 도어(Back Door)에 속수무책인 '청구SW'

여기에 현재로서는 청구SW 검사범위에 백 도어(Back Door) 가능성도 확인 할 수 없는 상황인 것으로 나타났다.

백 도어(Back Door)란 프로그래머들의 다른 PC에 대한 접근 편의를 위해 시스템 설계자가 고의적으로 만들어 놓은 것으로 최근에는 '해킹에 취약한 부분'을 일컫는 용어로 쓰이고 있다

즉 언제든지 해커들이 마음만 먹으면 청구SW를 해킹해 환자 개인정보가 유출될 수 있다는 것이다.

그러나 현재로서는 이러한 백 도어(Back Door) 가능성을 사전에 확인․검사할 수 제도적인 시스템이 전무한 상태다.

심평원 관계자는 "청구SW 검사범위에 백 도어(Back Door) 가능성 확인 여부는 포함돼 있지 않다"며 "현재로서는 기술적으로 백 도어(Back Door)를 확인할 도구가 없는 상황으로 해커들의 위험성에 노출돼 있다"고 말했다.

이어 "청구SW 버전 업데이트 등 변경이 필요한 경우에는 현재 검사를 실시하고 있으며, 검사항목의 적정여부를 검사해 적정하다고 판단되는 경우 승인번호를 부여하고 있다"며 "요양기관 의료정보 유출방지 대책의 일환으로 심평원에서 DUR을 통해 PC 보완프로그램을 올해 4월부터 제공하고 있다"고 덧붙였다.
댓글 10
새로고침
  • 최신순
  • 추천순
댓글운영규칙
댓글운영규칙
댓글은 로그인 후 댓글을 남기실 수 있으며 전체 아이디가 노출되지 않습니다.
ex) medi****** 아이디 앞 네자리 표기 이외 * 처리
댓글 삭제기준 다음의 경우 사전 통보없이 삭제하고 아이디 이용정지 또는 영구 가입이 제한될 수 있습니다.
1. 저작권・인격권 등 타인의 권리를 침해하는 경우
2. 상용프로그램의 등록과 게재, 배포를 안내하는 게시물
3. 타인 또는 제3자의 저작권 및 기타 권리를 침해한 내용을 담은 게시물
4. 욕설 및 비방, 음란성 댓글
  • heef*** 2020.09.00 00:00 신고

    먹먹하네.
    의약분업때 당해놓고, 또 당하네. 일단, 코로나 넘기고, 재논의하자. 노력하자.
    추진'강행'은 안해주마. 애초에 논의한 적 없이
    일방적 발표였으니, 재논의도 아닌 거고, 노력이란 애매모호한 말로 다 퉁쳤네. 추진 안 한다가 아니라 강행하지 않는다니,
    (현 정부 꼬락서니를 보면, 관변어용시민단체 다수 동원해, 국민뜻이라며 언론플레이후, 스리슬쩍 통과. 보나마나 '강행'은 아니라겠지.)
    정부 입장에서 도대체 뭐가 양보? 의사는 복귀하도록 노력한다가 아니라 복귀한다고. 욕먹고, 파업한 결과가 참,

    • heef*** 2020.09.00 00:00 신고

      먹먹하네.
      의약분업때 당해놓고, 또 당하네. 일단, 코로나 넘기고, 재논의하자. 노력하자.
      추진'강행'은 안해주마. 애초에 논의한 적 없이

    • heef*** 2020.09.00 00:00 신고

      먹먹하네.
      의약분업때 당해놓고, 또 당하네. 일단, 코로나 넘기고, 재논의하자. 노력하자.
      추진'강행'은 안해주마. 애초에 논의한 적 없이

  • heef*** 2020.09.00 00:00 신고

    먹먹하네.
    의약분업때 당해놓고, 또 당하네. 일단, 코로나 넘기고, 재논의하자. 노력하자.
    추진'강행'은 안해주마. 애초에 논의한 적 없이
    일방적 발표였으니, 재논의도 아닌 거고, 노력이란 애매모호한 말로 다 퉁쳤네. 추진 안 한다가 아니라 강행하지 않는다니,
    (현 정부 꼬락서니를 보면, 관변어용시민단체 다수 동원해, 국민뜻이라며 언론플레이후, 스리슬쩍 통과. 보나마나 '강행'은 아니라겠지.)
    정부 입장에서 도대체 뭐가 양보? 의사는 복귀하도록 노력한다가 아니라 복귀한다고. 욕먹고, 파업한 결과가 참,

  • heef*** 2020.09.00 00:00 신고

    먹먹하네.
    의약분업때 당해놓고, 또 당하네. 일단, 코로나 넘기고, 재논의하자. 노력하자.
    추진'강행'은 안해주마. 애초에 논의한 적 없이
    일방적 발표였으니, 재논의도 아닌 거고, 노력이란 애매모호한 말로 다 퉁쳤네. 추진 안 한다가 아니라 강행하지 않는다니,
    (현 정부 꼬락서니를 보면, 관변어용시민단체 다수 동원해, 국민뜻이라며 언론플레이후, 스리슬쩍 통과. 보나마나 '강행'은 아니라겠지.)
    정부 입장에서 도대체 뭐가 양보? 의사는 복귀하도록 노력한다가 아니라 복귀한다고. 욕먹고, 파업한 결과가 참,

더보기
# #